Výzkumný tým společnosti Check Point v uplynulých týdnech objevil v marketu Google Play devět aplikací obsahující nebezpečný malware. V aplikacích byl ukrytý škodlivý program Clast82 typu dropper (tzv. kapátko), který do telefonu dokáže bez vědomí uživatele nainstalovat („nakapat“) další malware a vyhnout se kontrolám ze strany Google Play. Hackeři pak s pomocí tajně instalovaného malwaru mohou na dálku prakticky kompletně ovládnout telefon oběti.
Celý útok je velmi sofistikovaný a obsahuje narušení hned v několika typech aplikací. Clast82 nainstaluje do mobilu malware v podobě služby AlienBot Banker, který cílí na finanční aplikace a dokáže obejít dokonce i zabezpečení pomocí dvoufaktorových autentizačních kódů. Clast82 současně obsahuje i mobilní trojan pro vzdálený přístup, takže hacker může ovládat zařízení pomocí aplikace TeamViewer, jako by telefon oběti držel přímo v ruce.
Zároveň s tím útočníci použili mechanismy na obejití kontrolních mechanismů Google Play, které mají běžně za úkol detekovat škodlivé aplikace. Pro komunikaci s řídicím C&C serverem je využívána platforma Firebase vlastněná Googlem. Když Google Play testuje a hodnotí aplikace, hacker změní konfiguraci C&C serveru pomocí Firebase. V kritickou chvíli „zakáže“ škodlivé chování Clast82, aby aplikace nevyvolala podezření. Jako hostitelská platforma pro stahování škodlivého obsahu je používán GitHub. Hacker tak může distribuovat další škodlivý obsah na všechna zařízení infikovaná jednotlivými škodlivými aplikacemi.
Hackeři „nakazili“ dropperem Clast82 tyto známé aplikace pro Android:
|
Název aplikace
|
Název balíčku
|
|
Cake VPN
|
com.lazycoder.cakevpns
|
|
Pacific VPN
|
com.protectvpn.freeapp
|
|
eVPN
|
com.abcd.evpnfree
|
|
BeatPlayer
|
com.crrl.beatplayers
|
|
QR/Barcode Scanner MAX
|
com.bezrukd.qrcodebarcode
|
|
eVPN
|
com.abcd.evpnfree
|
|
Music Player
|
com.revosleap.samplemusicplayers
|
|
tooltipnatorlibrary
|
com.mistergrizzlys.docscanpro
|
|
QRecorder
|
com.record.callvoicerecorder
|
Check Point odhalil zranitelnost v marketu Google Play a následně o nálezu informoval 28. ledna 2021 společnost Google. Už 9. února 2021 Google potvrdil, že všechny odhalené aplikace infikované dropperem Clast82 byly z Google Play odstraněny. „Hacker, který stojí za mobilní hrozbou Clast82, dokázal obelstít ochranu Google Play kreativním a zároveň znepokojivým způsobem. Jednoduše manipuloval snadno dostupnými zdroji třetích stran, jako jsou účty na GitHub nebo FireBase. Oběti si myslely, že stahují neškodnou utilitu z oficiálního obchodu pro Android, ale ve skutečnosti si stáhly také nebezpečný trojan, který cílil na finanční účty,“ objasnil princip fungování hackerského útoku Petr Kadrmas, bezpečnostní inženýr ze společnosti Check Point.
Jak probíhá útok přes Clast82:
- Na začátku si oběť stáhne z Google Play nějakou aplikaci obsahující i škodlivý kód Clast82.
- Clast82 následně komunikuje se svým velícím a řídicím serverem (C&C Server) a dostane další instrukce.
- Následně na zařízení stáhne a nainstaluje další hrozbu, v tomto případě AlienBot Banker, což je malware jako služba zaměřený na finanční aplikace a krádeže přihlašovacích údajů a ověřovacích kódů.
- Hacker tak získá přístup k finančním účtům obětí a zároveň má útočník plnou kontrolu nad infikovaným zařízením.
